13 жовтня 2020 р. – KB4578968 сукупний пакет оновлень для .NET Framework 3.5 і 4.8 для Windows 10, версія 2004, Windows Server, версія 2004, Windows 10, версія 20H2, і Windows Server, версія 20H2

Застосовується до
.NET

Примітка.

  • Дата випуску:
    13 жовтня 2020 р.
  • Версія:
    .NET Framework.NET Framework 3.5 і 4.8

Зведення

Уразливість розкриття інформації виникає, коли .NET Framework неправильно обробляє об'єкти в пам'яті. Зловмисник, який успішно скористався вразливістю, може розкрити вміст пам'яті ураженої системи. Щоб скористатися вразливістю, автентифікований зловмисник повинен запустити спеціально створену програму. В оновленні виправлено спосіб обробки об'єктів у пам'яті .NET Framework.

Докладні відомості про вразливості див. в нижченаведених статтях Поширені вразливості та вразливості.

Відомі проблеми в цьому оновленні

ASP.Net програми зазнають помилки під час попередньої компіляції з повідомленням про помилку

Ознаки захворювання
Після застосування цього зведеного оновлення щодо безпеки та якості роботи від 13 жовтня 2020 р. для .NET Framework 4.8 у деяких ASP.Net стається помилка під час попередньої компіляції. Отримане повідомлення про помилку, імовірно, міститиме слова Error ASPCONFIG (Помилка ASPCONFIG).

Причина
Неприпустимий стан конфігурації в розділах "sessionState", "anonymouseIdentification" або "authentication/forms" конфігурації "System.web". Це може статися під час процедур збирання й публікації, якщо перетворення конфігурації залишають файл Web.config у проміжному стані для попередньої компіляції.

Тимчасове вирішення

Цю проблему вирішено в KB4601050.

ASP.Net програми можуть не надавати маркери без файлів cookie в URI

Ознаки захворювання
Після застосування цього зведеного оновлення щодо безпеки та якості роботи від 1 жовтня 2020 р. для .NET Framework 4.8 деякі програми ASP.Net можуть не надавати маркери без файлів cookie в URI, що може призвести до циклів 302-переспрямування або втраченого чи відсутнього стану сеансу.

Причина
Функції ASP.Net для стану сеансу, анонімної ідентифікації та автентифікації форм покладаються на видачу маркерів веб-клієнту та дають змогу доставляти ці маркери у файлі cookie або вбудовувати в URI для клієнтів, які не підтримують файли cookie. Вбудовування URI вже давно є небезпечною та нерекомендованою практикою, і цей KB непомітно відключає випуск токенів в URI, якщо одна з цих трьох функцій явно не запитує режим cookie "UseUri" у налаштуваннях. Конфігурації, у яких указано "AutoDetect" або "UseDeviceProfile", можуть ненавмисно призвести до невдалих спроб вбудування цих маркерів в URI.

Тимчасове вирішення

Цю проблему вирішено в KB4601050.

Отримання оновлення

Інсталювати це оновлення

Канал випуску Доступно Наступний крок
Windows Update і Microsoft Update Так Немає. Це оновлення автоматично завантажиться й інсталюється з Windows Update.
Каталог Microsoft Update Так Щоб отримати автономний пакет для цього оновлення, перейдіть на веб-сайт Каталог Microsoft Update.
Служби Windows Server Update Services (WSUS) Так Це оновлення автоматично синхронізується зі службами WSUS, якщо ви налаштуєте продукти та класифікації таким чином:
Продукт: Windows 10Windows 10, version 2004, Windows ServerWindows Server, version 2004, Windows 10Windows 10, version 20H2, and Windows ServerWindows Server, version 20H2
Класифікація: оновлення системи безпеки

Відомості про файли

Щоб отримати список файлів, які містяться в цьому оновленні, завантажте відомості про файл для сукупного пакета оновлень.

Відомості про захист і безпеку